[非エンジニア向け] XMLインジェクション・XXE脆弱性ってなに？🤔

はじめに：XMLってなんだろう？

Webサイトやアプリケーションは、目に見えないところで様々なデータをやり取りしています。そのデータ形式の一つに「XML（エックスエムエル）」というものがあります。 XMLは、情報を整理して構造化するためのルールのようなもので、例えば、以下のように「商品名」「価格」「個数」といった情報を分かりやすくまとめるのに使われます。

<item>
  <description>すごいペン</description>
  <price>500</price>
  <quantity>1</quantity>
</item>

このように、情報をタグ（<item>など）で囲んで、意味を持たせるのが特徴です。手紙の封筒に「宛先」「差出人」「内容」と項目を書いて整理するのに似ていますね ✉️。

XMLインジェクション：悪意のあるデータを注入される！？

「インジェクション」とは「注入」という意味です。XMLインジェクションは、攻撃者がWebサイトの入力フォームなどを通じて、不正なXMLデータを送り込む攻撃のことです。

例えば、商品の購入数を入力するフォームに、数字だけでなく、XMLのタグ（命令文）を紛れ込ませて送信します。もしWebサイト側でこの入力内容をしっかりチェックしていないと、不正なタグがそのままシステムに取り込まれてしまいます。

その結果、攻撃者は以下のような悪事を働く可能性があります 😟。

• 情報の改ざん： 商品の価格を勝手に書き換えるなど。
• データの不正取得： アプリケーションが想定していないデータを無理やり読み込ませる。
• システムの誤作動： アプリケーションの正常な動作を妨害する。

まるで、お店の注文票にこっそり「値段を1円にして」と書き加えるようなものです。店員さんが気づかずに処理してしまうと、大変なことになりますね。

XXE（XML外部エンティティ）インジェクション：さらに深刻な問題 😨

XMLインジェクションの中でも特に危険で、よく知られているのがXXE（XML External Entity）インジェクションです。「XML外部実体参照」とも呼ばれます。

XMLには、「外部エンティティ（外部実体）」という、外部にあるファイルやリソースを読み込むための特殊な機能があります。これは本来、設定ファイルなどを共有するために便利な機能なのですが、悪用されると非常に危険です。

XXE攻撃では、攻撃者はこの「外部エンティティ」の仕組みを悪用した不正なXMLデータを送り込みます。アプリケーションがこれを処理してしまうと、攻撃者は以下のようなことができてしまいます。

• サーバー内のファイル窃取： 設定ファイル、パスワードファイル、顧客情報など、本来アクセスできないはずの重要なファイルを盗み見ることができます 📂💨。
• 内部システムへの攻撃（SSRF）： 攻撃者は、脆弱なサーバーを踏み台にして、本来アクセスできないはずの内部ネットワークにある他のサーバーに攻撃（リクエスト送信）を仕掛けることができます（Server-Side Request Forgery、SSRF）。これは、会社の内部ネットワークに不正に侵入するようなものです。
• サービス停止（DoS）： 大量のデータを読み込ませるなどの方法で、サーバーに大きな負荷をかけ、サービスを利用できなくさせることがあります 💣。

XXEは、その影響の大きさから、Webアプリケーションのセキュリティリスクランキングである「OWASP Top 10」にも2017年にランクインするなど、警戒すべき脆弱性の一つとされています。

どうすれば防げるの？開発者向けの対策 ✅

これらの攻撃からWebサイトやアプリケーションを守るために、開発者は以下のような対策を行う必要があります。専門的な話になりますが、簡単に説明します。

これらの対策を組み合わせることで、XMLインジェクションやXXE攻撃のリスクを大幅に減らすことができます。

まとめ

XMLインジェクション、特にXXEは、Webサイトやアプリケーションの裏側で使われているXMLの仕組みを悪用した、深刻なサイバー攻撃です。攻撃者は情報の窃取や改ざん、システムの停止などを狙ってきます。

非エンジニアの方も、このようなリスクがあることを理解しておくことで、セキュリティ対策の重要性について社内での意識を高める一助となります。開発者と協力して、安全なサービスを提供・利用していくことが大切ですね 👍。